QQ邮箱的安全问题
下午同事群里有人提醒,小心欺詐郵件。郵件內(nèi)容為你的帳戶在XX存在異地登錄,已經(jīng)進(jìn)入了【保護(hù)模式】,如需解除請(qǐng)點(diǎn)擊【解除保護(hù)模式】
除了鏈接之外,其它跟官方的是一模一樣,包括標(biāo)題。
那個(gè)鏈接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的
?
主界面直接用郵件的資源,rescdn.qqmail.com
?
使用微信掃一掃是能登錄的,但是會(huì)被跳轉(zhuǎn)到了m.exmail.qq.com,但如果你輸入了正確的帳號(hào)、密碼,那么你的帳戶從點(diǎn)擊按鈕那一刻開始就不安全了。下面截圖是我故意輸錯(cuò)的
?
對(duì)官方的html代碼就只修改了登錄點(diǎn)擊的JavaScript函數(shù),調(diào)用的是一個(gè)叫order.asp的接口 http://103.39.77.23:1100/order.asp?
?
?
講這件事情呢,主要是想說騰訊這么大的公司,目前的做法,其實(shí)對(duì)制作釣魚網(wǎng)站的成本要求極低,某種程度上就默認(rèn)允許釣魚網(wǎng)站的存在。從技術(shù)上來(lái)講,騰訊可以在識(shí)別釣魚網(wǎng)站上做更多的努力,總比用戶帳戶被盜對(duì)用戶、對(duì)騰訊自身的資源來(lái)講,都節(jié)省了不少(用戶帳戶被盜就要找地方申訴,申訴又可能需要人工的干預(yù))。
我列幾個(gè)簡(jiǎn)單的實(shí)例方案:
1、騰訊官方的郵件,都使用特殊的標(biāo)題,在瀏覽郵件時(shí)有特殊的標(biāo)識(shí)(非郵件內(nèi)容能表現(xiàn)出來(lái)的);
2、所有從郵件點(diǎn)擊出去的鏈接,它都可以進(jìn)行上報(bào)和識(shí)別,如果十分鐘或者一段時(shí)間內(nèi),某個(gè)url被多人訪問,它就去抓取該網(wǎng)頁(yè)的內(nèi)容(現(xiàn)在QQ聊天里就有,我發(fā)一個(gè)鏈接,過一會(huì)就把該頁(yè)面的概況抓出來(lái)顯示在下面了,如果認(rèn)為有風(fēng)險(xiǎn)就顯示黃色的icon,認(rèn)為是安全的就是綠色的勾),判定里面是否包含騰訊/郵件等關(guān)鍵詞,如果界面不讓抓取,那就標(biāo)為黃色,放入特定的隊(duì)列中,需要人工來(lái)進(jìn)行判斷;
3、所有非域名(直接訪問IP)的鏈接,全部進(jìn)行特別的提醒;
4、對(duì)CDN資源啟用防盜鏈(當(dāng)然人家可以直接下載你的資源,但如果這樣它做釣魚網(wǎng)站的成本就高了);
?
當(dāng)然,最好最最重要的是安全意識(shí),上面那封郵件,如果你仔細(xì)去看,它的發(fā)件人就有問題。所以,最重要的還是自己的安全意識(shí),這比什么都重要!
轉(zhuǎn)載于:https://www.cnblogs.com/meteoric_cry/p/4984518.html
總結(jié)
- 上一篇: OC中语法糖,最新语法总结
- 下一篇: 【转】android TV CTS 4.